01事件背景6月25日,Apache官方安全团队通过邮件公开报告了一个高危漏洞。该邮件介绍了HTTP/2拒绝服务漏洞的细节和解决方案。如下图所示:漏洞详情链接:http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3Cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3E已翻译漏洞名称:ApacheTomcatHTTP/2拒绝服务漏洞漏洞ID:CVE-2020-11996严重性:严重软件提供商:ApacheSoftwareFoundation受影响版本:ApacheTomcat10.0.0-M1~10.0.0-M5ApacheTomcat9.0.0.M1~9.0.35ApacheTomcat8.5.0~8.5.55漏洞描述:一个特制的HTTP/2请求序列可以在短短几秒内导致CPU满载,如果有足够的此类请求连接(HTTP/2)在服务器上发出,服务器可能会失去响应。如果条件允许,可以通过升级到新版本的Tomcat来解决该漏洞。以下安全版本对应受影响的版本:ApacheTomcat10.0.0-M6+ApacheTomcat9.0.36+ApacheTomcat8.5.56+02SpringCloud/Boot框架影响ApacheTomcatHTTP/2拒绝服务漏洞也影响SpringCloud/引导框架有所不同。以下是所有受影响版本的列表。您可以检查和比较自己的代码,看看它是否受到影响。SpringCloudEdgware/SpringBoot1.5.xSpringCloud[Edgware.RELEASE-Edgware.SR6]版本受到影响。SpringBoot[1.5.0.RELEASE-1.5.22.RELEASE]版本受到影响。SpringCloudFinchley/SpringBoot2.0.xSpringCloud[Finchley.RELEASE-Finchley.SR4]版本受到影响。SpringBoot[2.0.0.RELEASE-2.0.9.RELEASE]版本受到影响。SpringCloudGreenwich/SpringBoot2.1.xSpringCloud[Greenwich.RELEASE-Greenwich.SR6]版本受到影响。SpringBoot[2.1.0.RELEASE-2.1.14.RELEASE]版本受到影响。SpringBoot[2.1.15.RELEASE]版本已修复。SpringCloudHoxton/SpringBoot2.2.xSpringCloud[Hoxton.RELEASE-Hoxton.SR6]版本受到影响。SpringBoot[2.2.0.RELEASE-2.2.7.RELEASE]版本受到影响。SpringBoot[2.2.8.RELEASE]版本已修复。SpringBoot2.3.xSpringBoot[2.3.0.RELEASE]版本受到影响。SpringBoot[2.3.1.RELEASE]版本已修复。03升级方案为了避免上述漏洞,升级??方案有两种:直接升级SpringBoot版本。手动升级Tomcat版本。升级SpringCloudEdgware/SpringBoot1.5.xEdgware无法通过升级SpringBoot版本解决问题。=
